工控系统安全简介

工控系统基础

ICS:一个系统的总称,包括了很多设备和子系统

包括以下内容:

SCADA数据采集和监控系统

SCADA是工控系统重要组件,用于控制地理上分散的设备。本地单元从现场检测工作状态,获取数据使用远程通信链路连接到SCADA控制中心;控制中心根据数据,自动或手动执行操作,远程控制本地设备启停,不如开启/关闭阀门和断路器等

DCS分布式控制系统

DCS用于工业过程控制,用于工业流程控制。

PLC可编程逻辑单元

硬件设备,是各种工业控制系统的底层基础,作为控制系统的执行部件来使用

SCADA系统和DCS系统区别:

SCADA系统由事件驱动,用于收集数据并相应处理,一般不用实时处理;DCS系统由过程驱动,用于工业流程自动化控制,实时处理实现闭环控制。两者在地理上的分布也不一样,前者范围较广,后者基本分布在工厂或者车间的有限区域内。

工控协议简介

OPC标准


SCADA系统设备逻辑图

本地控制单元
VH7vZ9.png

工控系统脆弱性

1、现场总线控制网络
2、过程控制与监控网络

脆弱性主要体现在

  • 不安全的无线通信方式:(远程监控网络和RTU/PLC、本地PLC和控制器)
  • 不安全的移动设备接入:维护设备时未授权接入、配置未经审查使得恶意代码经移动设备摆渡进入工业控制内网
  • 不安全的协议设计:工业控制协议大多未经过安全性考量

3、企业办公网络

  • 信息资产本身漏洞:通用设备漏洞等
  • 网络互连风险
  • 内部管理机制缺失
  • 人员安全意识

SCADA系统组成结构

现场网络

现场网络指分布在远程的被监视和控制的远程站点,通过传感器等采集数据并发送给控制网络;从控制网络接收指令并通过执行器对开关、阀门等现场设备进行操作。RTU设备为传感器和执行器提供通信接口,与通信网络进行数据和指令的交换。

RTU设备汇总数据上传到控制网络,并执行控制网络给出的指令,但自身没有任何逻辑控制功能。在有一些工控应用中,可编程逻辑控制器PLC承担RTU的功能,与上游控制网络进行数据和指令交换,并提供现场控制功能。

控制网络

由主终端设备、人机界面、工程师、操作员站、历史数据库组成。主终端设备通过通信网络接收控制网络上传的数据,给出指令。人机界面提供状态监视,允许运行人员手动控制远程设备,并允许可信的授权用户远程连接查看数据。

通信网络

连接现场和控制网络的物理连接。由于SCADA系统分布范围广,通信网络采用线路通信、卫星通信、数字微波接力通信等广域网通信技术。

SCADA系统安全目标

可用性、完整性、机密性(从左到右权重降低)
在工业控制系统中,追求最高的可用性,即保护安全不能以使正常生产流程受阻为代价。在通过通信网络进行数据上传和指令下达的过程中,保证完整性,使其不被非法篡改。

posted @ 2019-07-17 16:40  柏凝  阅读(1304)  评论(0编辑  收藏  举报